简评中国大陆《数据出境安全评估办法》
2022.09
温坚坚、黄郁婷
近年来,数字经济蓬勃发展、数据跨境活动频繁,而数据的跨境流动不仅影响个人信息权益,更关系到国家安全及社会公共利益。截至目前为止,中国大陆出台的与数据跨境活动相关的法律有《网络安全法》、《数据安全法》及《个人信息保护法》。2022年7月7日,国家互联网信息办公室又出台了《数据出境安全评估办法》(以下称《办法》),就上述法律中有关数据出境的规定进一步予以规定及落实。《办法》明确了数据出境安全评估的对象、程序、要求、期限等主要因素,为数据出境安全评估提供了具体的指引,以防范数据出境安全风险,保障数据依法有序流动。
《办法》明确了数据出境活动的概念[1],包括(1)数据处理者将在境内运营中收集和产生的数据传输、存储至境外。(2)数据处理者收集和产生的数据存储在境内,境外的机构、组织或者个人可以访问或者调用。这里需提请注意的是上述第二种情形,数据被储存在境内,如若境外的机构、组织或个人可获取到该数据的依旧被视为数据出境活动。
《办法》规定了需要申报数据出境安全评估的具体情形并设有兜底条款,具体包括(1)数据处理者向境外提供重要数据;(2)关键信息基础设施运营者和处理100万人以上个人信息的数据处理者向境外提供个人信息;(3)自上年1月1日起累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者向境外提供个人信息;以及(4)国家网信部门规定的其他需要申报数据出境安全评估的情形。值得关注的是,上述第(3)种情形较《办法》(征求意见稿)[2]中增加了时间跨度,明确以上年1月1日为起点,累计向境外提供10万人个人信息或者1万人敏感个人信息的数据处理者,才需要进行数据出境安全评估。对于用户数量小,出境频率低的中小企业而言其实是较为有利的规定,只要符合条件便可免去安全评估的义务。
《办法》明确数据出境风险自评估前置的原则。强制申报数据出境安全评估的适用范围需满足上述的具体情形,然风险自评估是所有数据处理者向境外提供数据前的必要程序,该程序也是各企业应当特别予以重视的。提请各企业注意风险自评估所需重点评估的事项,包括数据出境和境外接收方处理数据的目的、范围、方式等的合法性、正当性、必要性;出境数据的规模、范围、种类、敏感程度,数据出境可能对国家安全、公共利益、个人或者组织合法权益带来的风险;境外接收方承诺承担的责任义务,以及履行责任义务的管理和技术措施、能力等能否保障出境数据的安全;数据处理者与境外接收方拟订立的法律文件中是否充分约定了数据安全保护责任义务;数据安全和个人信息权益是否能够得到充分有效保障等。
国家网信部门收到数据处理者的申报材料后,应当自向数据处理者发出书面受理通知书之日起45个工作日内完成数据出境安全评估;情况复杂或者需要补充、更正材料的,可以适当延长并告知数据处理者预计延长的时间。通过数据出境安全评估的结果有效期为2年,自评估结果出具之日起计算。
《办法》于2022年9月1日起施行,提请各企业注意数据出境绝不能“裸奔”不做任何配套措施,建议企业除了解上述所提《网络安全法》、《数据安全法》及《个人信息保护法》,也应仔细研读前不久发布的《网络安全标准实践指南—个人信息跨境处理活动安全认证规范》及《个人信息出境标准合同规定》,确保企业数据出境合法合规。
(作者意见,不代表事务所立场。)
[1] 《数据出境安全评估办法》答记者问-中共中央网络安全和信息化委员会办公室 (cac.gov.cn),http://www.cac.gov.cn/2022-07/07/c_1658811536800962.htm
[2] 《数据出境安全评估办法(征求意见稿)》第四条:数据处理者向境外提供数据,符合以下情形之一的,应当通过所在地省级网信部门向国家网信部门申报数据出境安全评估:(一)关键信息基础设施的运营者收集和产生的个人信息和重要数据;(二)出境数据中包含重要数据;(三)处理个人信息达到一百万人的个人信息处理者向境外提供个人信息;(四)累计向境外提供超过十万人以上个人信息或者一万人以上敏感个人信息;(五)国家网信部门规定的其他需要申报数据出境安全评估的情形。